Hvilke virksomheter må opprette personvernombud?

De nye personvernreglene vil i praksis gjelde for omtrent alle bedrifter i Norge (og i hele EØS). Kort sagt gjelder reglene for alle som behandler personopplysninger. Det er knapt mulig å drive en bedrift uten å behandle personopplysninger. Har man kunder, leverandører eller ansatte, behandler man i praksis opplysninger om privatpersoner.

Hvorfor er det plutselig så mye snakk om personvern?

Grunnen er at EU vedtok nye regler om personvern i 2016. De vil gjelde fra mai 2018 i hele EØS-området, herunder Norge. Men selv om det er mye snakk om det nye regelsettet, er det mange av reglene som har eksistert lenge.

EU har hatt regler om personvern i mer enn 20 år. I Norge har vi hatt loven om personopplysninger siden 2001. Den første loven kom i 1978, og Datatilsynet ble etablert i 1980. Man ligger godt an til å tilpasse seg de nye reglene hvis man følger de reglene som gjelder i dag. Datatilsynet har laget en oversikt over det som er nytt i de reglene som kommer. Men mye tyder på at mange bedrifter ikke kjenner dagens regler godt nok. Da øker selvsagt risikoen for dem for å bryte både gjeldende og nye regler

Personvernombud

En viktig endring fra dagens regler er at det skal ikke lenger skal være frivillig å opprette personvernombud. Det blir nå pliktig å ha personvernombud i en del virksomheter. Det er ingenting i veien for å opprette personvernombud også i virksomheter som ikke er pålagt å ha dette, men det skjer da på frivillig grunnlag.

Følgende virksomheter må utnevne personvernombud:

• Offentlige virksomheter unntatt domstolene
• Virksomheter hvis kjerneaktivitet består i
  a) regelmessig og systematisk å overvåke personer i stort omfang
  b) behandling av sensitive personopplysninger i stort omfang.
  Med sensitive opplysninger menes rasemessig eller etnisk bakgrunn, politisk, religiøs eller filosofisk oppfatning, strafferettslige opplysninger, helseforhold inkl. genetiske og biometriske opplysninger, seksuelle forhold eller medlemskap i fagforening.

Kvalifikasjonskrav til personvernombudet

• skal utpekes på bakgrunn av sine dybdekunnskaper om personvern,
• praktisk kompetanse innen personvern

Arbeidet kan kombineres med andre oppgaver, men det må ikke medføre interessekonflikter.

Personvernombudet skal

• involveres i alle spørsmål om vern av personopplysninger,
• ha nødvendige ressurser for å utføre pålagte arbeidsoppgaver,
• ikke motta instrukser om utførelsen av sine oppgaver,
• være tilgjengelig for alle registrerte som har spørsmål eller krav knyttet til behandlingen av deres personopplysninger,
• skal være bundet av taushetsplikt eller konfidensialitet under arbeidsutførelsen.

Personvernombudets oppgaver

• Kontaktpunkt for de registrerte
• Informere og gi råd til de som behandler personopplysninger, inklusive de ansatte
• Bidra til å etterleve reglene og virksomhetens personvernpolitikk
• Gi råd og delta i konsekvensanalyser
• Samarbeide med og være kontaktpunkt til Datatilsynet

Personvernombudet kan ikke stilles personlig ansvarlig for at personvernregelverket er oppfylt. Ansvaret ligger på behandlingsansvarlig og databehandler.

Se også:  Slik kommer du i gang med de nye personvernreglene